[英]Displaying XSS in the browser
我正在構建一個可檢索任何類型的用戶輸入的應用程序,即使用戶放置了xss注入代碼也是如此。 除了提供管理員視圖以顯示用戶輸入內容的全部內容外,他們還可以輸入html代碼,bb代碼,xss,javascript等(類似於分析目的)。
我認為htmlentities($ data,ENT_QUOTES)足以滿足要求,但是在閱讀https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet之后,我感到更加困惑。
我不想刪除任何標簽或腳本,我只想用轉義符將其顯示在html中。 如果將其放在textarea標簽上,是否可以保存? 我的意思是,如果數據包含xss,則在文本中是否將不執行?
<textarea name="comment" rows="30" cols="100"><?php echo htmlentities($data, ENT_QUOTES); ?></textarea>
或有任何安全的方式在瀏覽器上顯示xss,但自身未執行的xss。
對不起,我的英語不好。
謝謝
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.